Das Geschäft mit den Standortdaten

Author Portrait

Christoph Kölle

November 2020

Muslim Pro, X-Mode, US-Militär und location-data: Wie Apps Ihr Smartphone ausspionieren und App-Entwickler Ihre Standort-Daten verkaufen

Article Hero Image

Haben Sie sich schon einmal gefragt, warum viele Apps „kostenlos“ sind? Schließlich müssen Entwickler viel Zeit und Arbeit in die Entwicklung einer App investieren. Wie also lässt sich damit Viele Organisationen, Institutionen und Behörden haben großes Interesse daran. Besonders interessant sind Standort- und Bewegungsdaten – in diesem Fall für das US-Militär.

Eine Recherche von Motherboard hat ergeben, dass detaillierte Standort- und Bewegungsdaten von App-Nutzer:innen letztendlich beim US-Militär landen. Die Daten nehmen dabei den Weg über mehrere Zwischenhändler. Der Ausgangspunkt aber ist Ihr Smartphone.

Wo Daten landen, wie sie erhoben werden und welchen Weg sie nehmen, ist das Ergebnis der Analyse mehrerer Apps durch Motherboard. Das VICE-Outlet recherchiert oftmals investigativ zu Themen an der Schnittstelle von Technik und Gesellschaft.

Die Ergebnisse von Motherboard basieren auf der Sichtung öffentlich zugänglicher Dokumente, Interviews mit App-Entwicklern und technischer Analyse. Auf diese Weise konnten zwei unterschiedliche Datenströme und Mechanismen identifiziert werden, über die das US-Militär an Standort- und Bewegungsdaten gelangt bzw. gelangt ist.

Locate X und X-Mode

Eine der Quellen heißt Locate X, ein Produkt des Unternehmens Babel Street. Den Zugang zu den Daten von Locate X hatte sich das Kommando für Spezialoperationen der Vereinigten Staaten (USSOCOM) erkauft, um Einsätze von Spezialeinheiten in Übersee zu unterstützen. Im zweiten Fall nahmen die Daten ihren Weg vom US-amerikanischen Unternehmen X-Mode, das sein Geld mit Standortdaten verdient, über Zwischenhändler schließlich zum US-Militär.

Wie kommen Locate X und X-Mode an die Daten?

Die wichtigste Datenquelle stellen die Smartphone-Apps selbst dar. Einerseits kaufen sich Unternehmen die Daten ein. Locate X bedient sich solcher Daten, die von Smartphone-Apps gesammelt und von den App-Betreibern sodann verkauft werden.

Andererseits kann über sogenannte Software Development Kits (SDK) auf die Daten zugegriffen werden. X-Mode stellt zu diesem Zweck ein eigenes SDK zu Verfügung und bewegt die App-Entwickler dazu, dieses in ihre Apps zu integrieren. Im Gegenzug erhalten die Entwickler eine Provision, die in der Höhe abhängig von der Anzahl der App-Nutzer:innen ist. Auf der Website von X-Mode können App-Entwickler diesen Provisions-Betrag berechnen lassen: Eine App mit 100.000 täglich aktiven Nutzern bringt somit beispielsweise 3.000 US-Dollar ein. Laut Aussage von Motherboard wurde das SDK von X-Mode in über 400 Apps integriert (Stand: September 2020).

X-Mode kann auf diese Weise etwa 25 Mio. Geräte in den USA und 40 Mio. außerhalb der USA verfolgen. Das sagte Josh Anton, Gründer und Geschäftsführer von X-Mode, in einem Interview mit CNN zu Beginn der Corona-Pandemie im April 2020. Das Unternehmen arbeite mit App-Anbietern zusammen, deren Apps auf Standortdaten angewiesen seien. Dazu zählen laut Aussage des X-Mode-Gründers Anton etwa Logistik- oder Wetter-Apps sowie Apps für Katastrophenfälle wie Erdbeben.

Tracking trotz anonymisierter Daten?

Nun könnte man entgegenhalten, dass die Daten nur in anonymisierter Form erhoben werden und damit keinen Rückschluss auf einzelne Person zulassen. Bereits im Dezember 2018 hatte eine Recherche der New York Times jedoch gezeigt, wie mithilfe von Standort-Daten einzelne Geräte lokalisiert werden können.

Also auch anonymisiert erhobene Daten können de-anonymisiert werden. Auf die Frage des CNN-Reporters, ob mittels der X-Mode-Technologie Individuen lokalisiert werden könnten, räumte CEO Josh Anton ein, dass es zwar technisch möglich wäre, allerdings nicht gestattet ist – weder X-Mode selbst noch seinen Partnern. Anton verwies darauf, dass mit großer Macht große Verantwortung einhergehe, weshalb ein ethisch korrekter Umgang mit Daten erforderlich sei.

Welche Apps sind betroffen?

Als populärste App konnte die Motherboard-Recherche eine Gebets-App für Muslime mit dem Namen Muslim Pro identifizieren. Diese hat laut Aussage auf der eigenen Website weltweit insgesamt über 98 Mio. Nutzer:innen, davon über 50 Mio. allein auf Android. Die von Motherboard durchgeführte Netzwerkanalyse zeigte, dass die Android- und iOS-Versionen Standortdaten mit X-Mode geteilt wurden. Außerdem wurden der Name des Wi-Fi-Netzwerks, in dem sich das Smartphone befand, der Zeitstempel sowie Geräteinformationen geteilt. Eine eigene Recherche via εxodus ergab, dass die App Muslim Pro 18 Tracker und 37 Berechtigungen nutzt.

Auf der Seite von εxodus können Sie für Ihre Android-Apps überprüfen, welche Tracker und Berechtigungen sich darin verstecken. Einfach nach dem Namen der App suchen.

Im Lichte des vom X-Mode-CEO Josh Anton zugesicherten ethischen Umgangs mit Standortdaten birgt seine Twitter-Botschaft aus dem Juni 2020 eine gewisse Brisanz. In dieser sichert er zu, dass die Nutzung von Standort-Daten für bestimmte Zwecke – wie etwa zur Überwachung religiöser Institutionen – ausgeschlossen sein soll.

Einen Tag nach Erscheinen des Motherboard-Artikels lies der App-Betreiber von Muslim Pro verlauten, ab sofort keine Standort-Daten mehr zu teilen.

Weitere Apps, bei denen Motherboard einen Übertragung von Standort-Daten feststellen konnte, waren

  • die Dating-Apps Muslim Mingle, Black Mingle, Iran Social, Turkey Social, Egypt Social, Colombia Social,
  • die Schrittzähler-App Accupedo und
  • die Anzeigen-App CPlus for Craigslist,
  • die Screen-Sharing App Mobzapp

Grundsätzlich müssen die Nutzungsbedingungen einer App darüber informieren, welche Daten zu welchem Zweck erhoben werden. Außerdem müssen App-Nutzer:innen ihre Zustimmung ausdrücklich erklären, indem sie den Nutzungsbedingungen zustimmen. Die Wenigsten lesen jedoch die Nutzungsbedingungen, bevor sie eine App verwenden. Aber selbst die, die sie lesen, erfahren nicht, wo ihre Daten hingelangen. Oftmals verbergen sich die Informationen hinter sehr allgemein gehaltenen oder gar kryptischen Formulierungen.

Motherboard konnte feststellen, dass manche der untersuchten Apps gar keinen Hinweis auf die Erhebung von Standortdaten enthielten. Oftmals fehlte zudem ein Hinweis auf die Weitergabe der Daten an X-Mode. Aber selbst diese Informationen hätten keinen Rückschluss darauf zugelassen, dass die Daten schließlich sogar beim Militär landen.

Brisant ist außerdem, dass auch die App-Entwickler, die von Motherboard per Mail um Stellungnahme gebeten wurden, selbst nicht wussten, dass die von ihnen gesammelten Daten beim US-Militär enden. So zitiert Motherboard den Mobzapp-CEO Nicolas Dedouche, dass ihm nicht bewusst gewesen sei, dass X-Mode mit Rüstungsunternehmen und dem Militär zusammenarbeitet.

"I was not aware that X-Mode was selling those data to some military contractors. I cannot be aware X-Mode is working with military contractors if they do not clearly mention it somewhere." Nicolas Dedouche, Mobzapp-CEO

Was können Sie tun, um Ihre Daten zu schützen?

Zunächst sollten Sie sich darüber bewusst sein, dass nichts umsonst ist – getreu dem Motto „if you are not paying for the product, you become the product“. App-Entwickler, die ihre Apps „kostenlos“ in App Stores zum Download anbieten, nutzen andere Wege der Monetarisierung. Hauptsächlich erfolgt diese mittels Werbung. Aber wie dieser Fall zeigt, verdienen App-Betreiber auch am Verkauf der durch die App gesammelten Daten. Man sollte sich also fragen, ob man die App wirklich benötigt. Kommt man zum dem Schluss, dass man sie nutzen möchte, dann sollten Sie die Nutzungsbedingungen genau lesen. Hier verstecken sich – wenn auch oftmals nicht detailliert – Hinweise darauf, welche Daten im Einzelnen und zu welchen Zwecken erhoben, gesammelt und weitergegeben werden. Zudem sollten Sie der App nicht notwendige Berechtigungen wie etwa den Zugriff auf den eigenen Standort in den Einstellungen entziehen.

Die üblichen Anti-Tracking Add-Ons im Browser helfen hier übrigens nicht weiter. Vielmehr ist eine leistungsfähige Filtertechnik notwendig. Gardion-Nutzer:innen sind also sicher. Die im Gardion VPN integrierten Filter blockieren bereits ab Filterstufe 3 ein solches Tracking und schützen Ihre (Standort-)Daten—übrigens auch schon lange vor Bekanntwerden dieses Datenskandals.

Ihr Internet, jetzt in sicher, privat und grün

Mit 30-Tage-rundum-sorglos-Geld-zurück-Garantie

Quellen

Vice: How the U.S. Military Buys Location Data from Ordinary Apps

Vice: Private Intel Firm Buys Location Data to Track People to their 'Doorstep'

Vice: Muslim Pro Stops Sharing Location Data After Motherboard Investigation

CNN: This company tracks millions of devices worldwide. Could it help fight Covid-19?

The New York Times: Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret

Protocol: Through apps, not warrants, ‘Locate X’ allows federal law enforcement to track phones

Der Standard: Locate X: Geheimer Dienst verkauft seit Jahren Standortdaten von Smartphone-Nutzern

X-Mode: CEO Statement on Twitter